La revue des failles du 24 février au 10 mars 2010
Revue des principales failles du 24 février au 10 mars 2010, avec Vupen Security. Aujourd'hui : Internet Explorer 7 et 6, Office Excel de 2002 à 2008, Windows Movie Maker, Energizer Duo USB Charger, Opera Browser 10.x.
Microsoft Internet Explorer 7 et 6
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Internet Explorer, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire liée au traitement de certaines données, ce qui pourrait permettre à un attaquant distant d'exécuter un code arbitraire en incitant un utilisateur à visiter une page Web spécialement conçue.
Patch et/ou information : Lien
Microsoft Office Excel 2002 à 2008
Niveau de danger : Critique
Description de la faille : Plusieurs vulnérabilités ont été identifiées dans Microsoft Office Excel, elles pourraient être exploitées par des attaquants distants afin de compromettre un système vulnérable. Ces failles résultent de corruptions de mémoire présentes au niveau du traitement d'un document incluant un enregistrement "EntExU2", "BRAI" BIFF, "MDXTuple", "MDXSet", "ContinueFRT12", "FnGroupName", "BuiltInFnGroupCount", "FnGrp12" ou "DbOrParamQry" malformé, ce qui pourrait permettre à des attaquants d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un document Excel spécialement conçu.
Patch et/ou information : Lien
Microsoft Windows Movie Maker
Niveau de danger : Elevé
Description de la faille : Une vulnérabilité a été identifiée dans Microsoft Windows, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'une corruption de mémoire présente au niveau du logiciel Movie Maker qui ne valide pas certaines données lues depuis un fichier de projet MS Windows Movie Maker (*.MSWMM), ce qui pourrait permettre à des attaquants d'exécuter un code arbitraire en incitant un utilisateur à ouvrir un fichier spécialement conçu.
Patch et/ou information : Lien
Energizer DUO USB Charger
Niveau de danger : Critique
Description de la faille : Un problème de sécurité a été identifié dans le chargeur de piles Energizer DUO USB Charger, il pourrait être exploité par un attaquant distant afin de compromettre un système vulnérable. Ce problème résulte de l'installation et l'exécution d'un cheval de Troie (Arucer.dll) suite à l'installation du logiciel du chargeur, ce qui pourrait permettre à un attaquant distant de prendre le contrôle d'un système infecté (lister des répertoires, envoyer et recevoir des fichiers ou exécuter des programmes) en se connectant au port 7777/TCP.
Patch et/ou information : Lien
Opera Browser 10.x
Niveau de danger : Critique
Description de la faille : Une vulnérabilité a été identifiée dans Opera, elle pourrait être exploitée par des attaquants distants afin de compromettre un système vulnérable. Ce problème résulte d'un débordement de mémoire présent au niveau du traitement de l'entête HTTP "Content-Length:", ce qui pourrait permettre à un attaquant d'altérer le fonctionnement d'un navigateur vulnérable ou d'exécuter un code arbitraire en incitant un utilisateur à visiter une page Web hébergée sur un serveur malicieux.
Patch et/ou information : Lien
Source : JDN Solutions | |
22/02/2010 | Adobe Acrobat et Reader 9.x - 8.x, Google Chrome 4.x, Juniper Installer, Microsoft Windows, OpenOffice.org 3.x - 2.x. |
03/02/2010 | Adobe Shockwave Player 11.x, Google SketchUp 7.x, Microsoft Windows, Internet Explorer. |
13/01/2010 | Adobe Flash Media Server 3.x, Intel Chipsets, Microsoft IIS 6.0, Novell iManager 2.x et Sun Java System Directory Server Enterprise. |